一种身份认证方法及装置的制造方法
【专利摘要】本发明公开了一种身份认证方法及装置,其中,该方法包括:在生物肢体进入第一设备的预设范围后,第一设备通过生物肢体与第二设备建立通信连接;第一设备通过通信连接接收第二设备传输的待认证数据,其中,待认证数据包括:数字认证信息和身份标识;在生物肢体进入第一设备的预设范围的持续时间内,第一设备采集生物肢体的生物特征信息;第一设备获取对待认证数据和生物特征信息进行认证得到的认证结果。
【专利说明】
_种身份认证方法及装置
技术领域
[0001]本发明涉及一种电子技术领域,尤其涉及一种身份认证方法及装置。
【背景技术】
[0002]电子支付相比现金支付,具有安全、快捷、可靠等优势。POS机作为一种支付终端,被广泛地运用于电子支付中。现有的POS机有的是通过读卡器读取银行卡的持卡人磁条信息,由POS机操作人员输入交易金额,持卡人在POS机上刷银行卡,然后再输入密码,POS机把这些信息上传给银行后台,完成联机交易。由此可见,在现有的电子支付流程中,用户需要执行两次操作,第一次将银行卡放到POS机上与POS机建立连接,第二次用户需要输入密码,操作流程复杂。
[0003]另外,在用户使用电子设备获取某些特定场所(例如,办公区域、保密区域等)、个人物品(汽车、保险柜等)、危险物品(如枪支弹药等)等的授权时,电子设备与设置在这些场所、个人物品或危险物品上的电子系统建立通信连接,然后将存储的密钥发送给电子系统,电子系统对密钥进行认证。由此可见,现有技术中的这种授权方式,其它人可以使用别人的电子设备进而获得授权,进而执行非法操作,造成用户的财产、信息等损失。
【发明内容】
[0004]本发明旨在解决上述问题之一。
[0005]本发明的主要目的在于提供一种身份认证方法。
[0006]本发明的另一目的在于提供一种身份认证装置。
[0007]为达到上述目的,本发明的技术方案具体是这样实现的:
[0008]本发明一方面提供了一种身份认证方法,包括:在生物肢体进入第一设备的预设范围后,第一设备通过生物肢体与第二设备建立通信连接;第一设备通过通信连接接收第二设备传输的待认证数据,其中,待认证数据包括:数字认证信息和身份标识;在生物肢体进入第一设备的预设范围的持续时间内,第一设备采集生物肢体的生物特征信息;第一设备获取对待认证数据和生物特征信息进行认证得到的认证结果。
[0009]可选地,生物特征信息包括:指纹信息和/或静脉信息;第一设备采集生物肢体的生物特征信息包括:在生物肢体与第一设备接触的情况下,采集生物肢体与第一设备的接触部位的生物特征信息。
[0010]可选地,第一设备通过通信连接接收第二设备传输的待认证数据,包括:第一设备通过通信连接接收第二设备广播的待认证数据。
[0011 ]可选地,第一设备通过通信连接接收第二设备传输的待认证数据,包括:第一设备通过通信连接向第二设备发送认证请求;第一设备通过通信连接接收第二设备响应认证请求发送的待认证数据。
[0012]可选地,数字认证信息包括以下之一:使用签名私钥对待签名数据进行数字签名得到的签名信息;利用对称密钥对待加密信息进行加密得到的加密信息;动态口令。
[0013]可选地,第一设备通过生物肢体与第一设备建立通信连接,包括:第一设备检测到距第二设备的距离在预设范围内的生物肢体与第一设备接触,通过生物肢体与第二设备建立通信连接。
[0014]本发明另一方面提供了一种身份认证装置,位于第一设备,包括:建立模块,用于通过生物肢体与第二设备建立通信连接;接收模块,用于通过通信连接接收第二设备传输的待认证数据,其中,待认证数据包括:数字认证信息和身份标识;采集模块,用于在通过生物肢体与第二设备建立通信连接的持续时间内,采集生物肢体的生物特征信息;执行模块,用于执行对待认证数据和生物特征信息进行认证的流程,得到认证结果。
[0015]可选地,生物特征信息包括:指纹信息和/或静脉信息;采集模块通过以下方式采集生物肢体的生物特征信息:在通过生物肢体与第二设备建立通信连接的持续时间内,且生物肢体与第一设备接触的情况下,采集生物肢体与第一设备的接触部位的生物特征信息。
[0016]可选地,接收模块通过以下方式接收第二设备传输的待认证数据:通过通信连接接收第二设备广播的待认证数据。
[0017]可选地,接收模块通过以下方式接收第二设备传输的待认证数据:通过通信连接向第二设备发送认证请求;通过通信连接接收第二设备响应认证请求发送的待认证数据。
[0018]可选地,建立模块通过以下方式与第一设备建立通信连接:检测到在第二设备的预设通信范围内的生物肢体与第一设备接触。
[0019]由上述本发明提供的技术方案可以看出,本发明提供的身份认证方法中,在生物肢体进入第一设备的预设范围后,第一设备通过生物肢体与第二设备建立通信连接,并通过该通信连接发送的待认证数据,并且,在生物肢体进入第一设备的预设范围的持续时间内采集生物肢体的生物特征信息,对待认证数据和生物特征信息进行认证。通过本发明提供的技术方案,用户只需要将生物肢体接近第一设备一次,第一设备即可获得第二设备发送的待认证数据,以及用户的生物特征信息,简化了用户的操作,提高了用户体验。并且,在本发明提供的技术方案中,第一设备同时采用用户的生物特征信息作为认证信息,从而使得即使用户不小心将第二设备遗失,其他人也无法使用该用户的电子设备获得认证,进而保证了用户的财产及信息的安全。
【附图说明】
[0020]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
[0021 ]图1为本发明实施例1提供的身份认证方法的流程图;
[0022]图2为本发明实施例2提供的身份认证装置的结构示意图。
【具体实施方式】
[0023]下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。
[0024]在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或数量或位置。
[0025]在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
[0026]下面将结合附图对本发明实施例作进一步地详细描述。
[0027]实施例1
[0028]本实施例提供了一种身份认证方法。
[0029]图1是本实施例提供的身份认证方法的流程图,如图1所示,该方法主要包括以下步骤S102至步骤S108。
[0030]步骤S102,在生物肢体进入第一设备的预设范围后,第一设备通过生物肢体与第二设备建立通信连接。
[0031 ]在本实施例中,生物肢体包括但不限于人体。
[0032]在本实施例中,第一设备可以为POS机、支付宝应用等扫码终端、移动终端、PDA、台式机、笔记本、门禁等终端,第二设备可以为植入人体内或者佩戴在人体身上的装置,植入人体内的装置例如可以为植入人体内的血流传感器、脉搏传感器、体温传感器等传感器,佩戴在人体身上的装置例如可以是手环、腕表、项链、戒指、腰带等可穿戴在用户身上的电子设备。
[0033]在本发明实施例的一个可选实施方案中,第一设备通过生物肢体与第一设备建立通信连接可以是第一设备检测到距第二设备的距离在预设范围内的生物肢体与第一设备接触,通过该生物肢体与第二设备建立通信连接。例如,检测到戴有手环的人体的手指触摸到第一设备,从而通过人体与手环建立通信连接。
[0034]在本实施例中,第二设备可以穿戴用户的身体上或置入用户的体内上,或者装载在用户穿戴的衣物或配饰中,从而与第二设备通信连接,例如,戴在用户的手腕上,或者装在用户穿戴的衣服兜里,当用户需要登录网络、打开门禁、以及支付等需要进行身份认证的操作时,用户可以通过自己的肢体(例如手臂、脸)接近第一设备(即验证设备),当肢体接近第一设备一定距离(例如,几毫米)时,第一设备通过用户的肢体与第二设备建立通信连接。由于人体通信有一定的范围,比如3?5米,只有在人体进入第一设备的这个预设范围内,才能建立人体通信连接。
[0035]作为本实施例中的一种可选实施方式,第一设备通过生物肢体与第二设备建立通信连接可以通过有线方式和无线方式,例如,第一设备与第二设备至少可以通过以下两种方式之一实现:
[0036]有线方式:
[0037]第一设备与第二设备均设有电极,在第一设备与植入人体内或者佩戴在人体身上的第二设备的生物肢体(人体)接触(例如,佩戴有腕表的用户将手指接触POS机)时,将人体作为导体,双方的电极连通形成人体内的通路,即所谓的有线方式的通信连接。在该方式中,第一设备需要与佩戴有第二设备的人体接触。
[0038]无线方式:
[0039]在无线方式中,第一设备和第二设备(如POS机和腕表)均可以检测周围的电场是否发生变化,如果对方进入人体通信允许的范围内,就能检测到场强发生变化,与对方建立通信连接。具体地,以第二设备为例,第二设备佩戴或内置在人体内,利用第二设备的发射器的振荡让人体产生电场,当第二设备与第一设备的距离处于人体通信允许的范围内时,第一设备的接收器检测到电场的变化,与第二设备建立通信连接。在该方式中,第一设备不需要与佩戴有第二设备的人体接触。
[0040]上述方式利用人体作为电信号的传输介质,实现体表、体内及人体周围(3?5米)的设备的信息交互。与传统的蓝牙、WIF1、射频和红外等无线通信技术相比,人体通信过程中信号经过人体传输,因而电磁噪声对其影响很小,具有低功耗、高保密性以及更低的人体损害等优点。此外由于不存在多人通信时效率降低的问题,也可免除有线通讯方式冗余的连线困扰。
[0041]步骤S104,第一设备通过通信连接接收第二设备传输的待认证数据,其中,待认证数据包括:数字认证信息和身份标识。
[0042]本实施例中,数字认证信息可以包括以下至少之一:签名信息、加密信息和动态口令。
[0043]电子签名信息可以利用签名私钥(可以是第二设备的签名私钥,也可以是与第二设备连接的安全设备(例如,KEY)的私钥)对待签名数据进行数字签名得到的签名信息,在对该签名信息进行认证时,获取与上述签名私钥对应的签名公钥,利用该签名公钥对电子签名信息进行验签,如果验签通过,则认证通过。其中,待签名数据可以是上述的身份标识,也可以是第二设备或与第二设备连接的安全设备产生的随机数,在这种情况下,待认证数据中还可以包括第二设备产生的随机数,另外,待签名数据还可以为第一设备产生的随机数,在这种情况下,第一设备可以在与第二设备建立通信连接后,先向第二设备发送一个验证请求,该请求中携带第一设备产生的随机数,第二设备接收到该随机数后,再利用签名私钥对该随机数进行签名,得到上述签名信息,采用随机数作为待签名数据,可以预防重放攻击。在该可选实施方式中,数字认证信息为签名信息,从而使得在认证时可以确保第二设备的用户的身份。
[0044]加密信息可以为第二设备利用与第一设备协商的对称密钥对待加密数据计算得到的MAC值,在对该加密信息进行认证时,同样利用该对称密钥对待加密数据计算得到验证MAC值,比较密文信息与验证MAC值,如果一致,则认证通过;或者,加密信息也可以为第二设备利用与第一设备协商的对称密钥对待加密数据得到的密文数据,在对该加密信息进行认证时,利用该对称密钥对密文数据进行解密,比较解密得到的信息与待加密数据是否一致,如果一致,则认证通过。
[0045]动态口令可以为基于种子密钥生成的动态口令,在对该动态口令进行认证时,同样利用该种子密钥计算得到验证值,比较动态口令与验证值,如果一致,则认证通过,其中,动态口令可以是基于时间的,也可以是基于事件,还可以为动态挑战码,具体本实施例不作限定。
[0046]在本实施例中,可以通过上述任一种实现对数字认证信息的认证,以保证第二设备的合法性。
[0047]在上述实施方式中,第二设备可以自己计算上述数字认证信息,也可以与另一设备(例如,具有签名功能、加密功能、或动态口令功能的电子设备)进行交互以得到上述数据认证信息,具体本实施例不作限定。
[0048]在本实施例一种可选的实施方式中,身份标识可以为第二设备的设备标识、用户ID等可以唯一标识用户身份的信息,通过身份标识可以唯一关联到第二用户用于认证数字认证信息的认证因子以及生物特征验证信息,以便对数字认证信息以及生物特征信息进行双重认证,由此,在双重认证通过后就可以确定生物特征信息以及数字认证信息都来自于同一用户,保证用户的合法性。
[0049]在本实施例的一种可选实施方式中,第二设备可以在通信连接建立后,主动向第一设备发送上述的待认证数据,例如,可以在第二设备上设置一个开关,用户打开该开关之后,第二设备开始广播上述待认证数据,在第一设备与第二设备建立通信连接后,第一设备接收第二设备广播的待认证数据,或者,第二设备也可以主动检测是否与第一设备建立通信连接,如果是,则主动向第一设备发送上述待认证数据。采用这种实施方式,可以简化流程,提高认证速度。
[0050]在本发明实施例的另一个可选实施方式中,第二设备也可以是在接收到第一设备的请求后,发送上述待认证数据。在该可选实施方式中,第一设备可以在与第二设备建立通信连接之后,向第二设备发送认证请求,第二设备接收到该认证请求后,响应该认证请求,向第二设备发送该待认证数据。例如,在支付过程中,第一设备可以将交易信息携带在认证请求中发送给第二设备,第二设备接收到该认证请求后,响应该认证请求,向第一设备发送待认证数据,其中,第二设备可以在接收到交易信息后,从中提取关键信息,并显示该关键信息,在接收到用户确认之后,才向第一设备发送待认证请求,以保证交易的安全。另外,在该可选实施方式中,认证请求中还可以携带第一设备确定的待计算信息,例如,随机数等,第二设备在接收该认证请求后,可以对该待计算信息进行签名、加密或生成动态口令。
[0051]步骤S106,在生物肢体进入第一设备的预设范围的持续时间内,第一设备采集生物肢体的生物特征信息。
[0052]其中,生物特征信息包括以下至少之一:指纹信息、虹膜信息、人脸信息和静脉信息。本实施例中,第一设备在与第二设备近距离接触的生物肢体接近时,采集该生物肢体的生物特征信息,例如,在用户手指触摸POS机的触摸部件的短暂的时间内(如3秒),P0S机与用户佩戴的腕表通过人体建立通信连接,并通过该通信连接传输认证信息,并且,在该触摸时间内,POS机的触摸部件采集指纹信息。又例如,在用户的腕表与支付宝支付终端(该支付终端具有拍照功能,可以用于采集人脸信息)建立人体通信连接的期间,通过支付终端采集人脸信息,由此,第一设备可以用户执行一次动作(即肢体接近第一设备)的情况下获取待认证数据和生物特征信息,操作方便快捷,提高用户体验。
[0053]本实施例中,只要在生物肢体进入第一设备的预设范围的持续期间内采集生物特征信息即可,生物特征信息可以在通信连接建立之前,也可以在通信连接建立时或之后采集,具体本实施例不作限定。
[0054]在本步骤中,特别地,在生物特征信息包括:指纹信息和/或静脉信息的情况下,需要生物肢体与第一设备接触才能采集到生物特征信息,作为一种可选的实施方式,采集生物肢体的生物特征信息可以包括:在生物肢体与第一设备接触的情况下,采集生物肢体与第一设备的接触部位的生物特征信息。例如,用户的手指接触第一设备的指纹采集部,或用户的手腕接触第一设备的静脉信息采集部。通过该可选实施方式,由于用户的肢体需要与第一设备接触才能采集到生物特征信息,因此,可以保持本次认证是用户许可的,进而避免由于第一设备和第二设备不经意间接近而触发认证流程的情况。
[0055]步骤S108,第一设备获取对待认证数据和生物特征信息进行认证得到的认证结果O
[0056]本实施例中,对数字认证信息以及生物特征信息进行认证的认证结果可以是根据认证标识信息获取认证因子和生物特征验证信息,并利用认证因子和生物特征验证信息对数字认证信息以及生物特征信息进行认证的认证结果。该认证因子和生物特征验证信息与认证标识信息唯一关联,因此根据认证标识信息可以唯一查询到该用户对应的认证因子和生物特征验证信息,以便利用数字认证信息以及生物特征信息的双重认证通过后,可以保证用户的合法性。
[0057]在本发明实施例的一个可选实施方案中,对数字认证信息和生物特征信息的认证可以是在第一设备执行的,第一设备侧保存有身份标识与认证因子和生物特征验证信息的对应关系,第一设备根据接收到的身份标识获取与该身份标识对应的认证因子和生物特征验证信息,利用该认证因子和和生物特征验证信息,分别对接收到的数字认证信息和采集到的生物特征信息进行认证。例如,门禁系统可以保存允许进入的所有用户的身份标识以及该用户的认证因子和生物特征验证信息,在有用户请求进入时,根据该用户的身份标识、接收到的数字认证信息和采集到的生物特征信息进行认证。
[0058]在本发明实施例的另一个可选实施方案中,对数字认证信息和生物特征信息的认证可以是在后台执行的,第一设备将待认证数据和生物特征信息发送给后台,后台保存有身份标识与认证因子和生物特征验证信息的对应关系,后台根据接收到的身份标识获取与该身份标识对应的认证因子和生物特征验证信息,利用该认证因子和和生物特征验证信息,分别对接收到的数字认证信息和采集到的生物特征信息进行认证,将认证结果返回给第一设备。
[0059]本步骤中,利用认证因子对数字认证信息的认证的方式与根据数字认证信息的具体形式相关。例如,如果数字认证信息为使用签名私钥(可以是第二设备的私钥,也可以是与第二设备连接的安全设备(例如,KEY)的私钥)对待签名数据进行签名得到的签名信息,则认证因子为与签名私钥对应的签名公钥,在认证数字认证信息时,利用签名公钥对待签名数据进行计算,得到验签值,将该验签值与接收到的签名信息进行比对,如果一致,则认证通过,否则,认证不通过。如果数字认证信息为利用对称密钥对待加密信息进行加密得到的加密信息,则认证因子为对称密钥,在对数字认证信息进行认证时,使用对称密钥对待加密信息进行加密,将加密得到的加密验证信息与接收到的加密信息进行比较,如果一致,则认证通过,否则认证不通过;或者,也可以利用对称密钥对接收到的加密信息进行解密,将解密得到的明文信息与待加密信息进行比较,如果一致,则认证通过,否则认证不通过;认证因子包括生物特征验证信息以及对称密钥。在数字认证信息为动态口令的情况下,认证因子为对动态口令进行验证的种子密钥,在对数字认证信息进行认证时,使用种子密钥生成动态口令,将生成的动态口令与接收到的动态口令进行比较,如果一致,则认证通过,否贝IJ,认证不通过。
[0060]通过本发明实施例提供的身份认证方法,在生物肢体进入第一设备的预设范围后,第一设备通过生物肢体与第二设备建立通信连接,并通过该通信连接发送的待认证数据,并且,在生物肢体进入第一设备的预设范围的持续时间内采集生物肢体的生物特征信息,对待认证数据和生物特征信息进行认证。通过本发明提供的技术方案,用户只需要将生物肢体接近第一设备一次,第一设备即可获得第二设备发送的待认证数据,以及用户的生物特征信息,简化了用户的操作,提高了用户体验。并且,在本发明提供的技术方案中,第一设备同时采用用户的生物特征信息作为认证信息,从而使得即使用户不小心将第二设备遗失,其他人也无法使用该用户的电子设备获得认证,进而保证了用户的财产及信息的安全。[0061 ] 实施例二
[0062]本实施例提供了一种身份认证装置,该装置位于第一设备,可以用于实现上述身份认证方法。
[0063]图2为本实施例提供的身份认证装置的结构示意图,如图2所示,该身份认证装置主要包括:建立模块201,用于通过生物肢体与第二设备建立通信连接;接收模块202,用于通过通信连接接收第二设备传输的待认证数据,其中,待认证数据包括:数字认证信息和身份标识;采集模块203,用于在通过生物肢体与第二设备建立通信连接的持续时间内,采集生物肢体的生物特征信息;获取模块204,用于获取对待认证数据和生物特征信息进行认证的流程,得到认证结果。
[0064]在本实施例中,生物肢体包括但不限于人体。
[0065]在本实施例中,第一设备可以为POS机、支付宝应用等扫码终端、移动终端、PDA、台式机、笔记本、门禁等终端,第二设备可以为植入人体内或者佩戴在人体身上的装置,植入人体内的装置例如可以为植入人体内的血流传感器、脉搏传感器、体温传感器等传感器,佩戴在人体身上的装置例如可以是手环、腕表、项链、戒指、腰带等可穿戴在用户身上的电子设备。
[0066]在本发明实施例的一个可选实施方案中,建立模块201按照以下方式通过生物肢体与第一设备建立通信连接:检测到距第二设备的距离在预设范围内的生物肢体与第一设备接触,通过该生物肢体与第二设备建立通信连接。例如,检测到戴有手环的人体的手指触摸到第一设备,从而通过人体与手环建立通信连接。
[0067]在本实施例中,第二设备可以穿戴用户的身体上或置入用户的体内上,或者装载在用户穿戴的衣物或配饰中,从而与第二设备通信连接,例如,戴在用户的手腕上,或者装在用户穿戴的衣服兜里,当用户需要登录网络、打开门禁、以及支付等需要进行身份认证的操作时,用户可以通过自己的肢体(例如手臂、脸)接近第一设备(即验证设备),当肢体接近第一设备一定距离(例如,几毫米)时,建立模块201通过用户的肢体与第二设备建立通信连接。由于人体通信有一定的范围,比如3?5米,只有在人体进入第一设备的这个预设范围内,才能建立人体通信连接。
[0068]作为本实施例中的一种可选实施方式,建立模块201通过生物肢体与第二设备建立通信连接可以通过有线方式和无线方式,例如,建立模块201至少可以通过以下两种方式之一实现:
[0069]有线方式:
[0070]第一设备与第二设备均设有电极,在第一设备与植入人体内或者佩戴在人体身上的第二设备的生物肢体(人体)接触(例如,佩戴有腕表的用户将手指接触POS机)时,将人体作为导体,双方的电极连通形成人体内的通路,即所谓的有线方式的通信连接。在该方式中,第一设备需要与佩戴有第二设备的人体接触。
[0071]无线方式:
[0072]在无线方式中,第一设备和第二设备(如POS机和腕表)均可以检测周围的电场是否发生变化,如果对方进入人体通信允许的范围内,就能检测到场强发生变化,与对方建立通信连接。具体地,以第二设备为例,第二设备佩戴或内置在人体内,利用第二设备的发射器的振荡让人体产生电场,当第二设备与第一设备的距离处于人体通信允许的范围内时,第一设备的接收器检测到电场的变化,指示建立模块201与第二设备建立通信连接。在该方式中,第一设备不需要与佩戴有第二设备的人体接触。
[0073]上述方式利用人体作为电信号的传输介质,实现体表、体内及人体周围(3?5米)的设备的信息交互。与传统的蓝牙、WIF1、射频和红外等无线通信技术相比,人体通信过程中信号经过人体传输,因而电磁噪声对其影响很小,具有低功耗、高保密性以及更低的人体损害等优点。此外由于不存在多人通信时效率降低的问题,也可免除有线通讯方式冗余的连线困扰。
[0074]本实施例中,接收模块202接收到的数字认证信息可以包括以下至少之一:签名信息、加密信息和动态口令。
[0075]电子签名信息可以利用签名私钥(可以是第二设备的签名私钥,也可以是与第二设备连接的安全设备(例如,KEY)的私钥)对待签名数据进行数字签名得到的签名信息,在对该签名信息进行认证时,获取与上述签名私钥对应的签名公钥,利用该签名公钥对电子签名信息进行验签,如果验签通过,则认证通过。其中,待签名数据可以是上述的身份标识,也可以是第二设备或与第二设备连接的安全设备产生的随机数,在这种情况下,待认证数据中还可以包括第二设备产生的随机数,另外,待签名数据还可以为第一设备产生的随机数,在这种情况下,第一设备可以在与第二设备建立通信连接后,先向第二设备发送一个验证请求,该请求中携带第一设备产生的随机数,第二设备接收到该随机数后,再利用签名私钥对该随机数进行签名,得到上述签名信息,采用随机数作为待签名数据,可以预防重放攻击。在该可选实施方式中,数字认证信息为签名信息,从而使得在认证时可以确保第二设备的用户的身份。
[0076]加密信息可以为第二设备利用与第一设备协商的对称密钥对待加密数据计算得到的MAC值,在对该加密信息进行认证时,同样利用该对称密钥对待加密数据计算得到验证MAC值,比较密文信息与验证MAC值,如果一致,则认证通过;或者,加密信息也可以为第二设备利用与第一设备协商的对称密钥对待加密数据得到的密文数据,在对该加密信息进行认证时,利用该对称密钥对密文数据进行解密,比较解密得到的信息与待加密数据是否一致,如果一致,则认证通过。
[0077]动态口令可以为基于种子密钥生成的动态口令,在对该动态口令进行认证时,同样利用该种子密钥计算得到验证值,比较动态口令与验证值,如果一致,则认证通过,其中,动态口令可以是基于时间的,也可以是基于事件,还可以为动态挑战码,具体本实施例不作限定。
[0078]在本实施例中,可以通过上述任一种实现对数字认证信息的认证,以保证第二设备的合法性。
[0079]在上述实施方式中,第二设备可以自己计算上述数字认证信息,也可以与另一设备(例如,具有签名功能、加密功能、或动态口令功能的电子设备)进行交互以得到上述数据认证信息,具体本实施例不作限定。
[0080]在本实施例一种可选的实施方式中,身份标识可以为第二设备的设备标识、用户ID等可以唯一标识用户身份的信息,通过身份标识可以唯一关联到第二用户用于认证数字认证信息的认证因子以及生物特征验证信息,以便对数字认证信息以及生物特征信息进行双重认证,由此,在双重认证通过后就可以确定生物特征信息以及数字认证信息都来自于同一用户,保证用户的合法性。
[0081]在本实施例的一种可选实施方式中,第二设备可以在通信连接建立后,主动向第一设备发送上述的待认证数据,因此,在该可选实施方式中,接收模块202可以通过以下方式接收第二设备传输的待认证数据:通过通信连接接收第二设备广播的待认证数据。例如,可以在第二设备上设置一个开关,用户打开该开关之后,第二设备开始广播上述待认证数据,在建立模块201与第二设备建立通信连接后,接收模块202接收第二设备广播的待认证数据,或者,第二设备也可以主动检测是否与第一设备建立通信连接,如果是,则主动向第一设备发送上述待认证数据。采用这种实施方式,可以简化流程,提高认证速度。
[0082]在本发明实施例的另一个可选实施方式中,第二设备也可以是在接收到第一设备的请求后,发送上述待认证数据。在该可选实施方式中,接收模块202可以通过以下方式接收第二设备传输的待认证数据:通过通信连接向第二设备发送认证请求;通过通信连接接收第二设备响应认证请求发送的待认证数据。例如,第一设备可以在与第二设备建立通信连接之后,向第二设备发送认证请求,第二设备接收到该认证请求后,响应该认证请求,向第二设备发送该待认证数据。例如,在支付过程中,第一设备可以将交易信息携带在认证请求中发送给第二设备,第二设备接收到该认证请求后,响应该认证请求,向第一设备发送待认证数据,其中,第二设备可以在接收到交易信息后,从中提取关键信息,并显示该关键信息,在接收到用户确认之后,才向第一设备发送待认证请求,以保证交易的安全。另外,在该可选实施方式中,认证请求中还可以携带第一设备确定的待计算信息,例如,随机数等,第二设备在接收该认证请求后,可以对该待计算信息进行签名、加密或生成动态口令。
[0083]在本实施例中,采集模块203采集到的生物特征信息可以包括以下至少之一:指纹信息、虹膜信息、人脸信息和静脉信息。本实施例中,采集模块203可以在与第二设备近距离接触的生物肢体接近时,采集该生物肢体的生物特征信息,例如,在用户手指触摸POS机的触摸部件的短暂的时间内(如3秒),P0S机与用户佩戴的腕表通过人体建立通信连接,并通过该通信连接传输认证信息,并且,在该触摸时间内,P0S机的触摸部件采集指纹信息。又例如,在用户的腕表与支付宝支付终端(该支付终端具有拍照功能,可以用于采集人脸信息)建立人体通信连接的期间,通过支付终端采集人脸信息,由此,身份认证装置可以在用户执行一次动作(即肢体接近第一设备)的情况下获取待认证数据和生物特征信息,操作方便快捷,提尚用户体验。
[0084]本实施例中,只要在生物肢体进入第一设备的预设范围的持续期间内采集生物特征信息即可,生物特征信息可以在通信连接建立之前,也可以在通信连接建立时或之后采集,具体本实施例不作限定。
[0085]在本发明实施例的一个可选实施方案中,生物特征信息可以包括:指纹信息和/或静脉信息;则采集模块203可以通过以下方式采集生物肢体的生物特征信息:在通过生物肢体与第二设备建立通信连接的持续时间内,且生物肢体与第一设备接触的情况下,采集生物肢体与第一设备的接触部位的生物特征信息。例如,用户的手指接触第一设备的指纹采集部,或用户的手腕接触第一设备的静脉信息采集部。通过该可选实施方式,由于用户的肢体需要与第一设备接触才能采集到生物特征信息,因此,可以保持本次认证是用户许可的,进而避免由于第一设备和第二设备不经意间接近而触发认证流程的情况。
[0086]在本实施例中,获取模块204获取的认证结果是对待认证数据和生物特征信息进行认证得到。本实施例中,对待认证数据中的数字认证信息以及生物特征信息进行认证的认证结果可以是根据认证标识信息获取认证因子和生物特征验证信息,并利用认证因子和生物特征验证信息对数字认证信息以及生物特征信息进行认证的认证结果。该认证因子和生物特征验证信息与认证标识信息唯一关联,因此根据认证标识信息可以唯一查询到该用户对应的认证因子和生物特征验证信息,以便利用数字认证信息以及生物特征信息的双重认证通过后,可以保证用户的合法性。
[0087]在本发明实施例的一个可选实施方案中,对数字认证信息和生物特征信息的认证可以是在身份认证装置执行的,身份认证装置可以保存身份标识与认证因子和生物特征验证信息的对应关系,获取模块204根据接收模块202接收到的身份标识获取与该身份标识对应的认证因子和生物特征验证信息,利用该认证因子和和生物特征验证信息,分别对接收模块202接收到的数字认证信息和采集模块203采集到的生物特征信息进行认证。例如,门禁系统可以保存允许进入的所有用户的身份标识以及该用户的认证因子和生物特征验证信息,在有用户请求进入时,根据该用户的身份标识、接收到的数字认证信息和采集到的生物特征信息进行认证。
[0088]在本发明实施例的另一个可选实施方案中,对数字认证信息和生物特征信息的认证可以是在后台执行的,获取模块204将待认证数据和生物特征信息发送给后台,后台保存有身份标识与认证因子和生物特征验证信息的对应关系,后台根据接收到的身份标识获取与该身份标识对应的认证因子和生物特征验证信息,利用该认证因子和和生物特征验证信息,分别对接收到的数字认证信息和采集到的生物特征信息进行认证,将认证结果返回给获取模块204。
[0089]对数字认证信息的具体认证方式可以参见实施例一的描述,在此不再赘述。
[0090]通过本发明实施例提供的身份认证装置在生物肢体进入第一设备的预设范围后,建立模块201通过生物肢体与第二设备建立通信连接,接收模块202通过该通信连接发送的待认证数据,并且,在生物肢体进入第一设备的预设范围的持续时间内采集模块203采集生物肢体的生物特征信息,获取模块204获取待对认证数据和生物特征信息进行认证的认证结果。通过本发明提供的技术方案,用户只需要将生物肢体接近第一设备一次,第一设备即可获得第二设备发送的待认证数据,以及用户的生物特征信息,简化了用户的操作,提高了用户体验。并且,在本发明提供的技术方案中,第一设备同时采用用户的生物特征信息作为认证信息,从而使得即使用户不小心将第二设备遗失,其他人也无法使用该用户的电子设备获得认证,进而保证了用户的财产及信息的安全。
[0091]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
[0092]应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
[0093]本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
[0094]此外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
[0095]上述提到的存储介质可以是只读存储器,磁盘或光盘等。
[0096]在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
[0097]尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在不脱离本发明的原理和宗旨的情况下在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。本发明的范围由所附权利要求及其等同限定。
【主权项】
1.一种身份认证方法,其特征在于,包括: 在生物肢体进入第一设备的预设范围后,所述第一设备通过所述生物肢体与第二设备建立通信连接; 所述第一设备通过所述通信连接接收所述第二设备传输的待认证数据,其中,所述待认证数据包括:数字认证信息和身份标识; 在所述生物肢体进入第一设备的预设范围的持续时间内,所述第一设备采集所述生物肢体的生物特征信息; 所述第一设备获取对所述待认证数据和所述生物特征信息进行认证得到的认证结果。2.根据权利要求1所述的方法,其特征在于, 所述生物特征信息包括:指纹信息和/或静脉信息; 所述第一设备采集所述生物肢体的生物特征信息包括:在所述生物肢体与所述第一设备接触的情况下,采集所述生物肢体与所述第一设备的接触部位的所述生物特征信息。3.根据权利要求1或2所述的方法,其特征在于,所述第一设备通过所述通信连接接收所述第二设备传输的待认证数据,包括: 所述第一设备通过所述通信连接接收所述第二设备广播的所述待认证数据。4.根据权利要求1或2所述的方法,其特征在于,所述第一设备通过所述通信连接接收所述第二设备传输的待认证数据,包括: 所述第一设备通过所述通信连接向所述第二设备发送认证请求; 所述第一设备通过所述通信连接接收所述第二设备响应所述认证请求发送的所述待认证数据。5.根据权利要求1至4任一项所述的方法,其特征在于,所述数字认证信息包括以下之一:使用签名私钥对待签名数据进行数字签名得到的签名信息;利用对称密钥对待加密信息进行加密得到的加密信息;动态口令。6.根据权利要求1至5任一项所述的方法,其特征在于,所述第一设备通过所述生物肢体与所述第一设备建立通信连接,包括: 所述第一设备检测到距所述第二设备的距离在预设范围内的所述生物肢体与所述第一设备接触,通过所述生物肢体与所述第二设备建立通信连接。7.一种身份认证装置,位于第一设备,其特征在于,所述装置包括: 建立模块,用于通过所述生物肢体与所述第二设备建立通信连接; 接收模块,用于通过所述通信连接接收所述第二设备传输的待认证数据,其中,所述待认证数据包括:数字认证信息和身份标识; 采集模块,用于在通过所述生物肢体与所述第二设备建立通信连接的持续时间内,采集所述生物肢体的生物特征信息; 执行模块,用于执行对所述待认证数据和所述生物特征信息进行认证的流程,得到认证结果。8.根据权利要求7所述的装置,其特征在于, 所述生物特征信息包括:指纹信息和/或静脉信息; 所述采集模块通过以下方式采集所述生物肢体的生物特征信息:在通过所述生物肢体与所述第二设备建立通信连接的持续时间内,且所述生物肢体与所述第一设备接触的情况下,采集所述生物肢体与所述第一设备的接触部位的所述生物特征信息。9.根据权利要求7或8所述的装置,其特征在于,所述接收模块通过以下方式接收所述第二设备传输的待认证数据: 通过所述通信连接接收所述第二设备广播的所述待认证数据。10.根据权利要求7或8所述的装置,其特征在于,所述接收模块通过以下方式接收所述第二设备传输的待认证数据: 通过所述通信连接向所述第二设备发送认证请求; 通过所述通信连接接收所述第二设备响应所述认证请求发送的所述待认证数据。11.根据权利要求7至10任一项所述的装置,其特征在于,所述建立模块通过以下方式与所述第一设备建立通信连接:检测到在所述第二设备的预设通信范围内的所述生物肢体与所述第一设备接触。
【文档编号】H04L29/06GK105991653SQ201610127230
【公开日】2016年10月5日
【申请日】2016年3月7日
【发明人】李明
【申请人】李明